当前位置:文档之家 › 单向函数数字签名

单向函数数字签名

  • 格式:ppt
  • 大小:460.00 KB
  • 文档页数:23

下载文档原格式

  / 23

合集下载

数字签名方案的实现

数字签名方案的实现

数字签名方案的实现欧家权、应用数学、2111011451一:数字签名的背景随着信息、电子技术的迅速发展,全球己步入信息社会。

由于整个社会将形成一个巨大的计算机网络,任何部门的计算机网络一旦出现安全问题,都会直接影响到整个国家的网络安全,所以计算机网络安全问题已引起了各国的高度重视。

随着我国信息化进程的加快,网络化将向各经济部门、政府机关、军队、学校和社会团体等方向延伸,先进的计算机系统能把整个社会乃至军队联结起来。

计算机作为国家的关键基础设施和战略命脉,其安全状况直接影响到国家的安全和发展。

加密技术是保证信息安全的关键技术,其理论是信息安全的核心内容之一。

密码学是一门古老而又年轻的学科,1949年以前,密码学是一种艺术而并不是作为一门严格的科学存在。

1949年shannon[']发表的“保密系统的信息理论"一文为私钥密码系统建立了理论基础,从此密码学成为了一门科学。

而1976年Diffie和Hellman[2]的“密码学的新方向”则开创了公钥密码学的新纪元。

目前的数据加密、数字签名、消息认证等技术都是以密码技术作为基础设计出来的。

随着信息化的高速发展,密码学理论的研究和应用越来越受到重视。

数字签名的概念由Diffie和Hellman提出,是现代密码学最重要最基本的概念之一。

数字签名的设计思想等同于手写签名,即将签名者的身份与其签署的消息绑定,表示某人已对某消息进行了签字。

任何的验证者均能验证消息确实为签名者所签署,而伪造一个合法用户的签名却是困难的。

数字签名是实现数字通信中可认证性、完整性和不可否认性的重要密码技术,是应用最为广泛的公钥密码技术之一.综上所述,数字签名的应用范围相当广泛,而数字签名最重要的应用之一就是数字版权管理系统的应用。

随着网络和数字技术的快速发展,以数字形式存在的产品在人们的日常工作、学习和生活中占据越来越重要的地位。

这些数字产品包括:电影、音乐、图片、电视、软件、书籍、期刊等,我们通称之为数字内容.数字内容通常都是有版权的,版权所有者销售数字内容并希望获得最大的经济收益。

数字签名

数字签名
身份验证算法:gz1=(Vr2-γ)(gsA)e mod n ,其中 r2=z2xA-e(mod n)
K-P-W可变群签名方案的安全性分析 (1)当p’和q’具有相同的比特位时,攻击者可以采用对参数 n进行因子分解的方法。分解n=pq=(2fp’+1)( 2fq’+1)只需 要 2 p f 次整数乘法,这里的│x│为x的比特位数。 (2)在组中成员诚实的情况下,虽说权威能辨别出签名者 签名。可是当组中的成员伪造或共谋伪造时,仍能生成有 效的签名。设组中成员A随机选取整数a和b,计算 sA=ab mod f 和 sA’= sA+ b mod f,将(sA,sA’)作为A的私钥,公钥 为yA= gsAmod n,,yA’= gsA’ mod n ,从GC处秘密地收到私 -d= xA( gbd)a 钥 xA和xA’,则有gbd=xA(xA’)-1 mod n , ID G -1 d bd b mod n,于是可以得到g =( g ) mod n。对于任意的sA, 由于A知道IDG-d 和gd,故可算出私钥(xA,sA).对任意的 消息,都可以产生有效的群签名,而权威无法辨认签名用 户。如果组中两成员共谋,利用上述方法同样可产生有效 的群签名,而权威无法辨认签名用户。
第10章 数字签名

数字签名特点:
签名不可伪造; 签名是可靠的; 签名不可重用; 签名不可改变; 签名不可抵赖。

定义10.0.1:一个签名方案是一个5元组(M,A, K,S,V), 满足如下的条件: (1)M是一个可能消息的有限集; (2)A是一个可能签名的有限集; (3)密钥空间K是一个可能密钥的有限集; K,都对应一个签名算法Sig K (4)对每一个k=(k1,k2) S和验证算法Ver K1 V。每一个Sig: M->A和Ver: M-> A{TRUE ,FALSE}是一个对每一个消息xM和每一个签名y A满足下列方程的函数: TRUE当y SigK ( x) Ver(x,y)=

第三章 现代密码技术及应用

第三章 现代密码技术及应用
但从已知的PK不可能推导出SK。
(2)认证模型:发方私钥加密,发方公钥解密 数字签名的原理
RSA算法: RSA算法是由Rivest,Shamir和Adleman于1978年 提出的,曾被ISO/TC97的数据加密委员会SC20推 荐为公开数据加密标准。 RSA体制是根据寻求两个大素数容易,而将他们的 乘积分解开则极其困难这一原理来设计的。
3.2.3 公开密钥加密体制
非对称密钥密码体系(Asymmetric Cryptography)也称 公开密钥技术。
在该体制中,加密密钥(又称公开密钥)PK是对外公开 的,加密算法E和解密算法D也是公开的,但解密密钥 (又称秘密密钥)SK是保密的。虽然SK是由PK决定的, 但却不能根据PK计算出SK。
为了保证信息在网上传输过程中不被篡改,必须对所 发送的信息进行加密。
例如:将字母a,b,c,d,e,… x,y,z的自然顺 序保持不变,但使之与D,E,F,G,H,…,Y,Z, A,B分别对应(即相差3个字符)。若明文为and, 则对应密文为DQG。(接收方知其密码为3,它就能 解开此密文)。
公钥加密机制根据不同的用途有两种基本的模型: (1)加密模型:收方公钥加密,收方私钥解密
用于加密模式的公开密钥算法具有以下特点:
用加密密钥PK对明文X加密后,再用解密密钥 SK解密即得明文,即DSK(EPK(X))=X;
加密密钥不能用来解密,即DPK(EPK(X)≠X; 在计算机上可以容易地产生成对的PK和SK,
ed 1 mod (n)
作为解密指数。 ⑤ 得出所需要的公开密钥和秘密密钥:
公开密钥(即加密密钥)PK {e, n} 秘密密钥(即解密密钥)SK {d, n}
(9-10)
(3) 正确性的例子说明

单向函数

单向函数

密码应用中码体制,因为它的求逆困难,用它加密的信息谁都不能解密。但是,单 向函数在密码学领域里却发挥着非常重要的作用。一个最简单的应用就是口令保护。我们熟知的口令保护方法是 用对称加密算法进行加密。然而,对称算法加密一是必须有密钥,二是该密钥对验证口令的系统必须是可知的, 因此意味着验证口令的系统总是可以获取口令的明文的。这样在口令的使用者与验证口令的系统之间存在严重的 信息不对称,姑且不说系统提供者非法获取用户口令的情况,一旦系统被攻破,可能造成所有用户口令的泄露。 使用单向函数对口令进行保护则可以很好地解决这一问题。系统方只存放口令经单向函数运算过的函数值,验证 是将用户口令重新计算函数值与系统中存放的值进行比对。动态口令认证机制多是基于单向函数的应用来设计的。
一个最简单的、大家熟知的“侯选”单向函数就是整数相乘。
函数是一个单向函数当且仅当可以用一个多项式时间的算法计算,但是对于任意一个以为输入的随机化多项 式算法,任意一个多项式,和足够大,使得
陷门
显然,单向函数不能直接用作密码体制,因为如果用单向函数对明文进行加密,即使是合法的接收者也不能 还原出明文了,因为单向函数的逆运算是困难的。与密码体制关系更为密切的概念是陷门单向函数。一个函数称 为是陷门单向的,如果该函数及其逆函数的计算都存在有效的算法,而且可以将计算的方法公开,即使有计算f的 完整方法也不能推导出其逆运算的有效算法。其中,使得双向都能有效计算的秘密信息叫做陷门(trap door)。
第一个陷门单向函数与上面介绍过的第二个单向函数候选类似:固定指数和模数的模指数运算。不同的是这 次是固定指数和模数,前面是固定基数和模数。设和是整数,同上,关于指数和模的模指数运算函数,由,定义。 又与实数域上概念类似,其逆运算也叫作求模的次根,即:给定整数、和,求整数使得成立(如果这样的a存在的 话)。例如,5就是16模21的4次根,因为 mod 21=16。显然,2也是16模21的4次根。大家可以尝试着求出16模21 的另一个4次根,或者求一个整数,它模21没有4次根。

数字签名概述

数字签名概述

数字签名概述091120112 扈钰一、引言政治、军事、外交等活动中签署文件, 商业上签定契约和合同以及日常生活中在书信、从银行取款等事务中的签字, 传统上都采用手写签名或印鉴。

签名起到认证、核准和生效作用。

随着信息时代的来临, 人们希望通过数字通信网络进行迅速的、远距离的贸易合同的签名,数字或电子签名法应运而生,并开始用于商业通信系统, 诸如电子邮递、电子转帐、办公室自动化等系统中。

由此,能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以及不可抵懒性,起到与手写签名或者盖章同等作用的签名的电子技术手段,称之为电子签名。

数字签名是电子签名技术中的一种,两者的关系密切。

目前电子签名法中提到的签名,一般指的就是"数字签名"。

数字签名与传统的手写签名的主要差别在于:(1)签名:手写签名是被签文件的物理组成部分,而数字签名不是被签消息的物理部分,因而需要将签名连接到被签消息上。

(2)验证:手写签名是通过将它与其它真实的签名进行比较来验证,而数字签名是利用已经公开的验证算法来验证。

(3)签名数字消息的复制品与其本身是一样的,而手写签名纸质文件的复制品与原品是不同的。

二、数字签名的含义及作用数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。

数字签名主要有以下几个作用:1、收方能确认或证实发方的签字,但不能伪造;2、发方发出签名后的消息,就不能否认所签消息;3、收方对已收到的消息不能否认;4、如果引入第三者,则第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。

三、数字签名原理数字签名采用了双重加密的方法来实现防伪、防赖。

通过一个单向函数对要传送的报文进行处理,得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。

一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。

现代密码学-第五章-数字签名

现代密码学-第五章-数字签名

2021/4/21
15
一、杂凑函数
方案分析: Al承ice诺发。送y1给Bob,Bob发送y2给Alice ,这叫做 Al践ice诺发。送x1给Bob,Bob发送x2给Alice ,这叫做 当承诺值确定以后,无法改变践诺值。 当对方发送来了承诺值以后,己方无法计算出对
方的践诺值,因而无法“随机应变地”确定自 己的践诺值,以重合或避开对方的践诺值。 综上所述,杂凑函数阻止了双方作弊。
若是则认为“Alice”是真正的Alice;
若否则认为“Alice”是假冒的Alice 。
2021/4/21
18
一、杂凑函数
Alice 身份
x2
(3): 联立
x= (x1,x2)
(1):我是Alice
(2):x1 (4):y=H(x)
Bob 知道
x2
(5): 是否
y= H(x1,x2)
2021/4/21
2021/4/21
17
一、杂凑函数
(1) Alice向Bob发送信息“我是Alice”。
(2) Bob收到信息后,向Alice发送一个随机的比特串x1。
(3) Alice x2) 。
收到x1后,与自己的身份密号x2联立,得到x=(x1,
(4) Alice计算y=H(x),并向Bob发送y。
(5到)x=B(ox1b,收x到2),y后然,后取验出证A是lic否e的身份密号x2,并与x1联立得 y=H(x),
串y。 (2)已知x,计算y=H(x)很容易;已知y,找一个x满
足y=H(x)却很困难。这一性质称为单向性。 (性3)质找称(x为1,无x碰2),撞x性1≠。x2,H(x1)= H(x2),很困难。这一
这样的函数称为杂凑函数。

数字证书,数字签名的基本原理,以及如何使用非对称加密技术实现软件的LICENSE机制


7
一点密码学的历史故事
非对称加密设想的实现者:
1977年,三位数学家Rivest 、Shamir 和 Adleman 设计 了一种算法,可以实现非对称 加密。这种算法用他们三个人 的名字命名,叫做RSA算法。 从那时直到现在,RSA算法一 直是最广为使用的"非对称加 密算法"。毫不夸张地说,只 要有计算机网络的地方,就有 RSA算法。
3
一点密码学的历史故事
• 第一点 密码体制划分
单向加密算法、对称加密算法、非对称加法三大类。 1、MD5、SHA算法是单向加密算法的代表,单向加密算法是数据完整性验证的 常用算法。散列函数,又称哈希函数、消息摘要函数、单向函数或杂凑函 数。 2、DES&AES算法是对称加密算法的典型代表,对称加密算法是数据存储加密的 常用算法。此外还有PBE——Password-based encryption(基于密码加 密)。其特点在于口令由用户自己掌管,不借助任何物理媒体。 3、RSA算法是非对称加密算法的典型代表,非对称加密算法是数据传输加密的 常用算法。对称加密算法也可以用做数据传输加密,但非对称加密算法在 密钥管理方面更有优势。相对对称加密算法而言,非对称加密算法在安全 级别上等级更高,但非对称加密算法在时间效率上远不如对称加密算法。
• 什么是散列函数,以及用途举例。 • 数据签名简单介绍 。 • 从Bob、Susan、Doug三个人的故事理解 数字签名与数字证书。
9
散列函数
大家都知道,地球上任何人都有自己独一无二的指纹,这常常成为司 法机关鉴别罪犯身份最值得信赖的方法;与之类似,MD5/SHA1等 等算法就可以为任何文件(不管其大小、格式、数量)产生一个同样 独一无二的“数字指纹”,如果任何人对文件做了任何改动,其 MD5/SHA1值也就是对应的“数字指纹”都会发生变化。

第三章数字签名与身份认证

此外目前的操作系统在身份认证方面还存在另一个弊端被称为有志者事尽成系统操作者可以反复服务器方通过采用硬件设备如编码器随机产生一些数据并要求客户输入这些数据经过编码发生器变换后产生的结果与服务器拥有的编码发生器产生的结果比较判断是否正确
第3章 数字签名和认证技术
第3章 数字签名和认证技术
3.1 报文鉴别 3.2 散列函数 3.3 数字签名体制 3.4 身份认证技术 3.5 身份认证的实现
第3章 数字签名和认证技术 1. 数字签名应具有的性质 数字签名应具有的性质 (1) 能够验证签名产生者的身份, 以及产生签名的日期 和时间; (2) 能用于证实被签消息的内容; (3) 数字签名可由第三方验证, 从而能够解决通信双方 的争议。
第3章 数字签名和认证技术 2. 数字签名应满足的要求 数字签名应满足的要求 (1) 签名的产生必须使用发方独有的一些信息以防伪造和否 认; (2) 签名的产生应较为容易; (3) 签名的识别和验证应较为容易; (4) 对已知的数字签名构造一新的消息或对已知的消息构造 一假冒的数字签名在计算上都是不可行的。 目前已有多种数字签名体制,所有这些体制可归结为两类: 直接方式的数字签名和具有仲裁方式的数字签名。
第3章 数字签名和认证技术 单向函数是进行数据加密/编码的一种算法 单向函数一般用于产生消息摘要,密钥加密等,常见的有: MD5(Message Digest Algorithm 5):是RSA数据安全公司 开发的一种单向散列算法,MD5被广泛使用,可以用来把不 同长度的数据块进行暗码运算成一个128位的数值; SHA Secure SHA(Secure Hash Algorithm)这是一种较新的散列算法,可 Algorithm 以对任意长度的数据运算生成一个160位的数值; MAC(Message Authentication Code):消息认证代码,是一 种使用密钥的单向函数,可以用它们在系统上或用户之间认 证文件或消息。HMAC(用于消息认证的密钥散列法)就是 这种函数的一个例子。

自考信息安全概论习题及答案

⾃考信息安全概论习题及答案信息安全概论习题及答案第1章概论1.谈谈你对信息的理解.答:信息是事物运动的状态和状态变化的⽅式。

2.什么是信息技术答:笼统地说,信息技术是能够延长或扩展⼈的信息能⼒的⼿段和⽅法。

本书中,信息技术是指在计算机和通信技术⽀持下,⽤以获取、加⼯、存储、变换、显⽰和传输⽂字、数值、图像、视频、⾳频以及语⾳信息,并且包括提供设备和信息服务两⼤⽅⾯的⽅法与设备的总称。

也有⼈认为信息技术简单地说就是3C:Computer+Communication+Control。

3.信息安全的基本属性主要表现在哪⼏个⽅⾯答:(1)完整性(Integrity)(2)保密性(Confidentiality)(3)可⽤性(Availability)(4)不可否认性(Non-repudiation)(5)可控性(Controllability)4.信息安全的威胁主要有哪些答:(1)信息泄露(2)破坏信息的完整性(3)拒绝服务(4)⾮法使⽤(⾮授权访问)(5)窃听(6)业务流分析(7)假冒(8)旁路控制(9)授权侵犯(10)特洛伊⽊马(11)陷阱门(12)抵赖(13)重放(14)计算机病毒(15)⼈员不慎(16)媒体废弃(17)物理侵⼊(18)窃取(19)业务欺骗等5.怎样实现信息安全答:信息安全主要通过以下三个⽅⾯:A 信息安全技术:信息加密、数字签名、数据完整性、⾝份鉴别、访问控制、安全数据库、⽹络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等;B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。

⼤多数安全事件和安全隐患的发⽣,并⾮完全是技术上的原因,⽽往往是由于管理不善⽽造成的。

安全管理包括:⼈事管理、设备管理、场地管理、存储媒体管理、软件管理、⽹络管理、密码和密钥管理等。

C 信息安全相关的法律。

法律可以使⼈们了解在信息安全的管理和应⽤中什么是违法⾏为,⾃觉遵守法律⽽不进⾏违法活动。

网络安全基础应用与标准_第四版思考题答案

第一章1.什么是osi安全体系结构?为了有效评估某个机构的安全需求,并选择各种安全产品和策略,负责安全的管理员需要一些系统性的方法来定义安全需求以及满足这些安全需求的方法,这一套系统体系架构便称为安全体系架构。

2.被动和主动威胁之间有什么不同?被动威胁的本质是窃听或监视数据传输,主动威胁包含数据流的改写和错误数据流的添加。

3.列出并简要定义被动和主动安全攻击的分类?被动攻击:消息内容泄漏和流量分析。

主动攻击:假冒,重放,改写消息和拒绝服务。

4.列出并简要定义安全服务的分类认证,访问控制,数据机密性,数据完整性,不可抵赖性。

5.列出并简要定义安全机制的分类。

特定安全机制:为提供osi安全服务,可能并到适当的协议层中。

普通安全机制:没有特定osi安全服务或者协议层的机制。

第二章1.对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法。

2.加密算法使用的两个基本功能是什么?替换和排列组合3.分组密码和流密码区别是什么?分组时若干比特同时加密。

比如DES是64bit的明文一次性加密成密文。

流密码是一个比特一个比特的加密,密码分析方面有很多不同。

比如说密码中,比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同,比如流密码通常是在特定硬件设备上实现。

分组密码可以在硬件实现,也可以在计算机软件上实现。

4.攻击密码的两个通用方法是什么?密码分析与穷举法(暴力解码)5.为什么一些分组密码操作模式只使用了加密,而其他的操作模式使用了加密又使用了解密出于加密与解密的考虑,一个密码模式必须保证加密与解密的可逆性。

在密码分组链接模式中,对明文与前一密文分组异或后加密,在解密时就要先解密再异或才能恢复出明文;在计数器模式中,对计数器值加密后与明文异或产生密文,在解密时,只需要相同的计数器加密值与密文异或就可得到明文。

6.为什么3DES的中间部分是解密而不是加密?3DES加密过程中使用的解密没有密码方面的意义。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
23
能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证
20
数字签名是传统签名的数字化,基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被自动验证
21
RSA 一般应用过程
甲方私钥 解密
乙方公钥 解密
甲方
明文
加密 解密 明文 密文 签名加解密 发送加解密
方的。 3.冒充,网络上的某个用户冒充另一个用户接收或发
送ቤተ መጻሕፍቲ ባይዱ息。 4.篡改,信息在网络传输过程中已被篡改,或接收方
对收到的信息进行篡改。
17
用数字签名(Digital Signature)可以有效地 解决这些问题。数字签名就是主要用于对数字信 息进行的签名,以防止信息被伪造或篡改等。
数字签名离不开公钥密码学,在公钥密码学 中,密钥由公开密钥和私有密钥组成。
hash函数的作用是当向hash函数输入一任意长度的的信 息M时,hash函数将输出一固定长度为m的散列值h。即:
h = h(M)
3
安全的hash函数的特点是:
1.hash函数能从任意长度的M中产生固定长 度的散列值h。
2.已知M时,利用h(M)很容易计算出h。 3.已知M时,要想通过控制同一个h(M), 计算出不同的h是很困难的。 4.已知h时,要想从h(M)中计算出M是很 困难的。 5.已知M时,要找出另一信息M',使h(M) =h(M')是很困难的。
数字签名包含两个过程:使用私有密钥进行 加密(称为签名过程),接受方或验证方用公开 密钥进行解密(称为验证过程)。
18
RSA算法的签名和验证过程 RSA算法的签名和验证过程
M
连接
Hash
加密
M 签名
Hash 比较
解密
发送方私钥Ks 发送签名方
发送方公钥Kg 接收验证方
19
数字签名机制
传统签名的基本特点:
8
消息摘要的作用
在网络安全目标中,要求信息在生成、存储或传输过 程中保证不被偶然或蓄意地删除、修改、伪造、乱序 、重放、插入等破坏和丢失,因此需要一个较为安全 的标准和算法,以保证数据的完整性。
常见的消息摘要算法有:
➢Ron Rivest设计的MD(Standard For Message Digest, 消息摘要标准)算法
13
哈希函数-生日攻击
如果采用传输加密的散列值和不加密的报文M,攻击 者需要找到N,使得H(N)=H(M),以便使用替代报文 来欺骗接收者。
一种基于生日悖论的攻击可能做到这一点,生日问题 :一个教室中,最少应有多少个学生,才使至少有两 人具有相同生日的概率不小于1/2?
概率结果与人的直觉是相违背的。实际上只需23人,即任找 23人,从中总能选出两人具有相同生日的概率至少为1/2
▪ 和MD5算法一样,SHA-1一次处理512位信息 ▪ 生成一个160位散列值 ▪ 用于创建数字签名的单向算法
6
散列算法的典型应用
▪用MD5校验和实现文件完整性保护 ▪文件系统完整性保护 ▪身份认证 ▪网页自动恢复系统
7
消息摘要
▪消息摘要的作用 ▪单向散列函数 ▪MD5算法 ▪SHA安全散列算法
▪A用N 替换M
结论:Hash必须足够长( 128, 160,224,256,15…
消息认证的局限性
消息认证可以保护信息交换双方不受第三方的攻击, 但是它不能处理通信双方的相互攻击
➢信宿方可以伪造消息并称消息发自信源方,信源方产生一条消 息,并用和信源方共享的密钥产生认证码,并将认证码附于消 息之后
散列函数的输出值有固定的长度,该散列值是消息M的所有位 的函数并提供错误检测能力,消息中的任何一位或多位的变化 都将导致该散列值的变化。从散列值不可能推导出消息M ,也 很难通过伪造消息M’来生成相同的散列值。
10
消息认证
▪ 认证码被附加到消息后以M||MAC方式一并发送,收方通过重新计算 MAC以实现对M的认证。如图所示。
4
最常用的hash算法有MD5、SHA算法等。
MD5算法
在对输入的明文初始化之后,MD5是按每组 512位为一组来处理输入的信息,每一分组又被划 分为16个32位子分组,经过了一系列的处理后, 算法的输出由四个32位分组组成,把这四个32位 分组串联(级联)后将生成一个128位散列值。
5
SHA算法
抗碰撞性的能力体现出单向散列函数对抗生日攻击和 伪造的能力。 弱抗碰撞性(Weak collision resistance):
➢对于任意给定的M,找到满足M≠N且H(M)=H(N)的N,在 计算上是不可行的;
强抗碰撞性(Strong collision resistance):
➢找到任何满足H(x)=H(y) 的偶对(x,y)在计算上是 不可行的。
➢NIST设计的SHA(Secure Hash Algorithm,安全散列算法 )
9
单向散列函数
消息摘要算法采用单向散列(hash)函数从明文产生摘要密文 。摘要密文又称为哈希函数、数字指纹(Digital Fingerprint )、压缩(Compression)函数、紧缩(Contraction )函数 、数据认证码DAC(Data authentication code)、篡改检验 码MDC(Manipulation detection code)。
甲方私钥 加密
乙方公钥 加密
密文
密文
甲方公钥 加密
乙方私钥 加密
明文
乙方
甲方公钥 解密
乙方私钥 解密
22
涉及的几个概念
▪对称加密算法 DES, AES, IDEA ▪非对称(公钥)加密算法 RSA, ECC ▪哈希(单向散列)函数 SHA, MD ▪认证(消息认证):使用单向散列函数 ▪数字签名:使用公钥加密算法
认证
▪信息认证
- 消息源认证 - 消息的完整性认证
▪安全系统的攻击
- 被动攻击 - 主动攻击
▪保密和认证同属密码技术应用
2
单向散列函数
单向散列函数,也称hash函数,它可以提供判断信息 完整性的依据,是防止信息被篡改的一种有效方法。单向 散列函数在数据加密、数据签名和软件保护等领域中有着 广泛的应用。 单向散列函数特点
➢信源方可以否认曾发送过某消息,因为信宿方可以伪造消息, 所以无法证明信源方确实发送过该消息
在收发双方不能完全信任的情况下,引入数字签名来 解决上述问题
➢数字签名的作用相当于手写签名
16
数字签名概述
在网络通信和电子商务中很容易发生如下问题。 1.否认,发送信息的一方不承认自己发送过某一信息
。 2.伪造,接收方伪造一份文件,并声称它来自某发送
▪ 假定收、发双方共享密钥k,如果收到的MAC与计算得出的MAC一致 ,那么可以得出如下结论:
▪ ① 接收方确信消息M未被篡改。此为完整性验证。
▪ ② 接收方确信消息来自所声称的发送者,因为没有其他人知道这个
共享密钥,其他人也就不可能为消息M附加合适的MAC。此为消息
源验证。
11
单向散列函数的抗碰撞性
14
生日攻击实例
▪ A准备两份合同M和N,一份B会同意,一份会取走他的 财产而被拒绝
▪A对M和N 各做32处微小变化(保持原意),分别产生 232个64位hash值
▪ 根据前面的结论,超过0.5的概率能找到一个M和一个N ,它们的hash值相同
▪ A提交M,经B审阅后产生64位hash值并对该值签名, 返回给A
12
哈希函数分类
根据是否使用密钥
➢带秘密密钥的Hash函数:消息的散列值由只有通信 双方知道的秘密密钥K来控制,此时散列值称作 MAC(Message Authentication Code)
➢不带秘密密钥的Hash函数:消息的散列值的产生无 需使用密钥,此时散列值称作MDC(Message Detection Code)